Active Directory (アクティブディレクトリー - AD )グループを使用してGlobalProtectポータルエージェント構成を一致させて検証する方法

Active Directory (アクティブディレクトリー - AD )グループを使用してGlobalProtectポータルエージェント構成を一致させて検証する方法

9203
Created On 06/16/22 15:11 PM - Last Modified 01/07/25 02:26 AM


Objective


  • 特定のポータル エージェント構成上のActive Directory (アクティブディレクトリー - AD ) (AD) グループを使用した GlobalProtect ポータル エージェント構成 (Config)。
  • ポータルの認証方法は、 LDAP、ローカル ユーザーデータベース、SAML など、または証明書ベースの認証にすることができます。
  • この例では、ポータル認証はLDAP経由で行われます。

Environment


  • パロアルトファイアウォール
  • サポートされているPAN-OS
  • GlobalProtectポータル
  • LDAP認証
  • ADグループによるグループマッピング
  • GlobalProtect (GP) アプリ

Procedure


  • グループ マッピング設定は、ファイアウォールがADグループを取得できるようにするためのADサーバーへのLDAP接続に基づいています。
  • これらのADグループは、GP ポータル エージェント構成で参照され、 ADグループの一部である GP 認証済みユーザーと一致させることができます。
  • 使用される認証タイプに関係なく、提供されたユーザー名がADグループに表示されるユーザー名と一致していることを確認してください。

手順
  • グループ マッピング設定を構成する前に、 LDAPサーバープロファイルが、以下の赤で囲まれた必須フィールドで正しく構成されていることを確認してください。GUI:デバイス > サーバー プロファイル > LDAP
image.png
  • 次に、以前に設定したLDAPサーバープロファイルに関連付けられた新しいグループ マッピング設定(この例ではgp )をコンフィグか、既存のグループ マッピング設定を使用して、 [ユーザー ドメイン]フィールドにドメイン名bearを追加します。残りのフィールドはデフォルトのままにしておきます。GUI:デバイス > ユーザー識別 > グループ マッピング設定 >サーバ プロファイル
image.png
  • プライマリ ユーザー名代替ユーザー名 1フィールドの値は、以下の赤で囲まれたユーザーとグループの属性タブで入れ替わります。この変更の理由は、「userPrincipalName」または「UPN」形式と呼ばれる「 ユーザー名 @domain.com」を使用して GPアプリケーションにログインするときに、GPユーザー名と一致するようにするためです。GUI:デバイス > ユーザー識別 > グループ マッピング設定 > ユーザーとグループの属性
image.png
  • 上記の手順を設定してコミットしたら、次のファイアウォールCLIコマンドを実行して、プライマリ ユーザー名と代替ユーザー名を表示します。プライマリユーザー名は、グループ マッピング設定のユーザーとグループの属性タブでプライマリ ユーザー名フィールドが「userPrincipalName」に設定されているため、UPN 形式「user1@bear.com」になります。
admin@PA-VM> show user user-attributes user user1@bear.com

Primary: user1@bear.com
Alt User Names:
1) bear\user1
image.png
  • 利用可能なグループをグループ包含リストタブで展開できる場合 グループ マッピング設定が正常であれば、 LDAPサーバープロファイルが機能していると判断できます。 +または-をクリックして、GP またはその他のファイアウォール構成で使用するADグループを追加します。
注:複数のADグループがあり、そのすべてが使用されるわけではない場合は、グループ包含リストを使用することをお勧めします。これにより、 ADサーバーからファイアウォールにプルダウンする必要があるADグループの数が制限され、ファイアウォールのmanagement plane ( 管理プレーン - MP )のCPUとメモリが過度に使用されるのを防ぐことができます。GUI:デバイス > ユーザー識別 > グループ マッピング設定 > グループ包含リスト
image.png
  • 上記の手順をコミットするで構成した後、次のコマンドを使用してファイアウォールCLIでADグループbear\vpn の詳細を確認します。
admin@PA-VM> show user group list

cn=vpn,ou=vpnou,dc=bear,dc=com

Total: 1
* : Custom Group

admin@PA-VM> show user group name "cn=vpn,ou=vpnou,dc=bear,dc=com"

short name:  bear\vpn

source type: ldap
source:      gp

[1     ] user1@bear.com
[2     ] user2@bear.com
[3     ] user3@bear.com
[4     ] vpnuser@bear.com
  • グループ マッピング設定は構成されており、正しく動作しているので、新しい GP ポータル エージェント構成を追加するか、既存の GP ポータル エージェント構成を変更して、以下に示すように、一致条件としてUSER/USER GROUPフィールドにbear\vpn ADグループを含めます。GUI:ネットワーク > GlobalProtect > ポータル > エージェント
image.png
  • 'user1@bear.com' で GPアプリケーションにログインして、設定をテストします。GP ポータル接続は成功するはずです。これは、ファイアウォールのGlobalProtectログを使用して確認できます。 [モニター]タブの[説明]列に、一致する構成名: portal_gwが表示されます。ログ フィルター ( ポータル neq gateway) and (eventid eq portal-getconfig) を使用すると、正確なログ エントリを表示できます。GUI:モニター > ログ > GlobalProtect
image.png
  • 正しい設定が適用されているかどうかを確認する別の方法は、ユーザーがGP に接続する前に次のデバッグを有効にし、ユーザーがファイアウォールCLIで設定を取得できなかった後にデバッグを無効にすることです。
PAN-OS 10.1以下のコードの場合
> debug ssl-vpn global on debug
> debug ssl-vpn global show     [Displays logging level]
> debug ssl-vpn global on info  [Logging level changed to info]

PAN-OS 10.2 以降では、特定のポータル、ゲートウェイ、ユーザー名、またはソース IP アドレスに一致トレース ログを有効にすることで、サーバー側から特定のユーザーの GlobalProtect を収集できるようになりました。

> debug gp-broker gpsvc trace global-log debug 
> debug gp-broker gpsvc trace show              [Displays logging level]
> debug gp-broker gpsvc trace global-log normal [Logging level changed to info]
  • 上記のデバッグが有効になったら、ユーザーに接続を試みさせ、ファイアウォールのCLI経由で次のログ ファイルをチェックして、 ADグループが正しい GP ポータル エージェント構成のportal_gwと一致していることを示す強調表示されたログ エントリを探します。
> less mp-log appweb3-sslvpn.log

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:772): query useridd for user attrs and groups: vsys_id (1); user (user1@bear.com); domain ();
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (bear\user1);
globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:804): query useridd for users: out user attr (user1@bear.com);

globalprotect_get_user_attrs_and_groups(modsslvpn_sysd_if.c:825): query useridd for groups: out group (cn=vpn,ou=vpnou,dc=bear,dc=com);

pan_gp_cfg_get_clientconfig(pan_gp_cfg.c:1298): found user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr bear\user1
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for bear\user1
pan_usr_cfg_find_configs(pan_usr_cfg.c:1142): found user attr user1@bear.com
pan_usr_cfg_hash_find(pan_usr_cfg.c:490): no config found for user1@bear.com

pan_usr_cfg_hash_find(pan_usr_cfg.c:488): config found for cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_find_configs(pan_usr_cfg.c:1157): append config idx vec for user group cn=vpn,ou=vpnou,dc=bear,dc=com
pan_usr_cfg_print_config_idx(pan_usr_cfg.c:899): config_idx is 1
  • エンド ユーザーのコンピューター上の GlobalProtect アプリ ログについては、GP Portal Agent Config の名前は表示されませんが、 PanGPA.logには、この記事の手順 2 に示されている XML 形式で構成の詳細が表示されます。

Additional Information


GlobalProtectエージェント構成を定義する
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wkiACAQ&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language